サイバー攻撃への身代金を過去1年間に支払った企業が69％、米Cohesityのグローバル調査

　『The Cohesity Global Cyber Resilience Report 2024』は、サイバーレジリエンスに関する調査。8カ国のITおよびセキュリティの意思決定者3100人以上を対象に、Cohesityが調査会社の英Censuswideに委託し、2024年6月27日から2024年7月18日にかけて実施した。

　同調査によれば、企業の78％が、自社のサイバーレジリエンス戦略と「昨今のエスカレートするサイバー課題と脅威に対処する能力」に自信を持っているとした。だが一方で、2024年に「ランサムウェア攻撃の被害者になった」とする企業が67％に上る。

　さらに2024年に「自社の業界に対するサイバー攻撃の脅威が増加するだろう、またはすでに増加している」とする企業は96％、「2023年と比較して50％以上増加した、または増加するだろう」とする企業が59％に上る。

　自社のサイバーレジリエンス戦略に自信がある企業が多いにもかかわらず、「データの復旧とビジネスプロセスの復元、あるいはその迅速化のために身代金を支払わない」とする企業は6％しかない。83％は「身代金を支払う」とする。身代金の額としては、「100万ドル以上」が75％、「500万ドル以上」も22％ある。

　実は、企業の77％は「支払わないポリシーを持っている」と回答している。ところが実際は、調査時点から過去1年間に「身代金を支払ったことがある」とする企業が69％にも上る。Cohesityは、「企業のサイバーレジリエンスに対する過大評価や過信が存在している状況が浮き彫りになった」と指摘する。

　サイバーレジリエンスは事業継続を脅かす課題であり、例えば「24時間以内にデータを復旧し、ビジネスプロセスを復元できる」とする企業は、わずかに2％。「1～3日以内にデータを復旧し、ビジネスプロセスを復元できる」とする企業も18％にとどまる。

　サイバー攻撃や情報漏えいが発生した場合に、ビジネスへの影響を最小限に抑えるための最適な復旧時間（RTO）については、98％が「目標は1日以内」とし、45％は「目標は2時間以内」としている。

　調査結果に対し、CohesityのCISO（最高情報セキュリティ責任者）兼CIO（最高情報責任者）であるBrian Spanswick氏は、こう述べる。

　「サイバー攻撃やデータ漏えいが成功すると、ビジネスの継続性が大きく損なわれ、収益や企業の評判、顧客の信頼に影響を与える。サイバーレジリエンスを発展させ、データセキュリティのベストプラクティスや能力を採用するうえでは、規制や法律は『上限』ではなく、高い『最低基準』であるべきだ」